E-Mail Benachrichtigung von Serverdiensten bei Verwendung von E-Mail Anbietern

#1
Viele Serverdienste, sei es die FritzBox Zuhause, der Switch oder das NAS bieten die Möglichkeit sich eine E-Mail Benachrichtigung zuschicken zu lassen, wenn irgend ein Problem mit dem Serverdienst besteht.

Wenn man nun keinen eigenen E-Mail Server betreiben möchte, bleibt einem ja nur übrig einen E-Mail Anbieter zu nehmen und dort einen E-Mail Account für die Serverdienste einzurichten.
Das Problem das ich hier jetzt nur sehe ist, dass man auf seinem Serverdienst das Passwort im Klartext hinterlassen muss, damit der Serverdienst den E-Mail Account nutzen und einem eine E-Mail schicken kann.
Wenn nun aber der Serverdienst eine Sicherheitslücke aufweist und jemand in diesen eindringt, dann kann er ja die Accountdaten, also E-Mail Adresse und Passwort abgreifen und somit mit dem E-Mail Account Unfug oder schlimmeres anstellen.

Wie löst man daher am besten dieses Problem, wenn man so eine E-Mail Benachrichtigungsfunktion nutzen möchte?
Gibt es eventuell E-Mail Anbieter, die mehrere Passwörter für die Serverdienste erlauben, so dass diese ihre Benachrichtigungen schicken können und ein Hauptpasswort mit dem man die Kontrolle über den E-Mail Account auch dann behalten kann, wenn der Serverdienst kompromittiert wurde?
 

Thorsten

SSF Facilitymanagement
Staff member
#2
Also bei mir unterstützt die Fritzbox bei SMTP Verbindungen SSL. Ob man das Kennwort im Klartext direkt aus der Fritzbox auslesen kann (intern / extern), entzieht sich meiner Kenntnis. Im Fall von intern hast du aber eh schon verloren, da du entweder dein Netz oder deine Fritzbox mit mehr unter Kontrolle hast.

mfG
Thorsten
 
#3
Mir geht es nicht um den Transport, sondern um die Tatsache, dass man das PW auf dem Serverdienst hinterlegen muss.
Und ja, die Fritzbox oder jeder andere Serverdienst auch wird es benötigen um sich beim Mailanbieter einloggen zu können um die Mail per SMTP verschicken zu können.

Im Fall von intern hast du aber eh schon verloren, da du entweder dein Netz oder deine Fritzbox mit mehr unter Kontrolle hast.
Das kann auch ein Serverdienst in einer DMZ sein.
Das Szenario könnte auch sein, dass die IDS warn schlägt, also die Mail verschickt, aber der Angreifer trotzdem rein kommt.
Spätestens wenn er drin ist, hat er die Kontrolle über den Rechner, aber in dem Fall auch über den Mailaccount, da das PW immer im Klartext oder by Obscurity und das ist kein Schutz, vorliegen muss, damit der Login funktioniert.
Als Hash kann man das PW nicht speichern, denn das macht ja schon der Mailanbieter, der dann nach Eingabe des PW daraus eine Hash generiert und mit dem hinterlegten Hash vergleicht.
Und würde man das PW verschlüsselt hinterlegen, dann muss ja irgendwo auf dem Serverdienst der Schlüssel liegen, damit er an das PW herankommt um die Mail verschicken zu können. Eine Verschlüsselung des PW hilft hier also auch nicht.
Der einzige Schutz wird ein eigenes Nutzerkonto sein, aber wenn der Angreifer root wird, dann hilft das auch nicht mehr.

Zumal es ja nicht immer so sein muss, dass die Mailbenachrichtigung einem über einen Angriff informiert, aber der Angreifer dann nicht reinkommt.
Es geht also einfach darum, dass er praktisch immer die Kontrolle über den Mailaccount übernehmen kann, wenn ihm der Einbruch in den Server gelingt.

Wenn der Serverdienst übernommen wird, dann ist das zwar schlimm, aber behebbar. Wenn er den Mailaccount übernimmt, dann kriegt man den unter Umständen nicht mehr zurück.
Wie schützt man hier also den Mailaccount?
 

Thorsten

SSF Facilitymanagement
Staff member
#4
Was genau ist bei dir der Serverdienst? Wenn ich bei meiner Fritzbox den Push Dienst aktiviere und mir Statusmeldungen via SMTP/SSL an meine Googlemail Adresse senden lasse, liegt das Kennwort für dieses Googlemail Konto an keiner Stelle im Klartext auf irgend einem System. Oder habe ich dich falsch verstanden.

mfG
Thorsten
 
#5
Ein Serverdienst kann alles sein, was einen bestimmten Dienst als Server zur Verfügung stellt.
Das kann sein git server, html server, sshd, ftp, webmail, sonstige webprodukte, nfs, smb usw..

Als Server würde ich eher die Hardware bezeichnen, auf der ein Serverdienst läuft.
Das kann auch ein stinknormaler PC sein, oder eben ein Switch, der den Serverdienst dhcp zur Verfügung stellt.


Die Fritzbox verlangt das PW und den Loginnamen beim Einrichten.
Siehe 1 Unterpunkt 4.
"Tragen Sie Ihre E-Mail-Adresse und das Kennwort ein. Bei T-Online E-Mails müssen Sie Ihr Telekom E-Mail-Passwort eintragen."
https://avm.de/service/fritzbox/fri...ublication/show/1632_Push-Service-einrichten/

Zwar kann theoretisch jede IP Adresse E-Mails zu fremden Mailsevern verschicken, aber solche Maschinen werden als Spamschleuder in der Regel vom E-Mail Provider blockiert, deswegen geht das nur über einen richtigen E-Mail Server mit fester IP Addresse der auch von anderen Mailservern nicht blockiert wird. Wenn man einen eigenen nicht betreiben will, geht das also nur unter Ausnutzung von bestehenden Mailservern von den diversen Mailanbietern und der eigene Serverdienst gibt sich denen gegenüber als Mailclient aus und braucht daher die Accountdaten.
 

marce

Active Member
#6
... und wo liegt das Problem? Ded. Konto einrichten mit ded. Zugangsdaten, die nur "dafür" verwendet werden.

Sollte dann irgendein System, welches dieses Konto verwendet. geknackt werden neue Zugangsdaten vergeben und fertig.
 
#7
... und wo liegt das Problem? Ded. Konto einrichten mit ded. Zugangsdaten, die nur "dafür" verwendet werden.
Kann man zwar machen, aber die rechtliche Verantwortung trägt man für diese Accounts trotzdem.

Das dürfte auch die vielen Spammails mit bspw. gmx.de oder web.de Adresse erklären die laut Mailheader direkt von den gmx und web.de Servern kommen.
 

nexus

Active Member
#8
Wenn du 100%ige Sicherheit willst, daß bei einem "Einbruch" in deine Serverdienste deine Mail-Zugangsdaten nicht entwendet (und mißbräuchlich benutzt) werden, dann hast du drei Möglichkeiten:
1. Du setzt deinen eigenen Mailserver auf, der so konfiguriert ist, daß er ausschließlich Mails von deinen Serverdiensten verarbeitet
2. Du läßt deine Serverdienste keine Mails versenden
3. Du betreibst keine Serverdienste
 
Top